ウイルス対策ベンダーBitdefenderのセキュリティ研究者によると、最近発見された電子メール攻撃キャンペーンの背後にいるハッカーは、Yahooウェブサイトの脆弱性を悪用してYahooユーザーの電子メールアカウントを乗っ取り、それをスパムに利用しているという。
この攻撃は、ユーザーが件名に自分の名前と「このページをチェックしてください」という短いメッセージ、そしてbit.lyで短縮されたリンクを含むスパムメールを受信することから始まります。このリンクをクリックすると、MSNBCニュースサイトを装ったウェブサイトに誘導され、在宅勤務で収入を得る方法に関する記事が掲載されていると、Bitdefenderの研究者は水曜日のブログ投稿で述べています。
一見すると、これは他の在宅勤務詐欺サイトと何ら変わりないように見えます。しかし、その裏では、JavaScriptコードがYahoo Developer Network(YDN)ブログサイトのクロスサイトスクリプティング(XSS)の脆弱性を悪用し、訪問者のYahooセッションCookieを盗み取ろうとしています。
仕組み
セッションCookieは、ウェブサイトがブラウザ内に保存する固有のテキスト文字列で、ログインしたユーザーがサインアウトするまでそのユーザーを記憶します。ウェブブラウザは、同一オリジンポリシーと呼ばれるセキュリティメカニズムを使用して、異なるタブで開かれたウェブサイトが互いのリソース(セッションCookieなど)にアクセスするのを防ぎます。
同一オリジンポリシーは通常、ドメインごとに適用されます。例えば、ユーザーが同じブラウザで両方のウェブサイトに同時にログインしている場合でも、google.com は yahoo.com のセッション Cookie にアクセスできません。ただし、Cookie 設定によっては、サブドメインは親ドメインによって設定されたセッション Cookie にアクセスできます。
これは Yahoo の場合に当てはまるようで、developer.yahoo.com を含むどの Yahoo サブドメインにアクセスしても、ユーザーはログインしたままになります。
偽の MSNBC Web サイトからロードされた不正な JavaScript コードは、訪問者のブラウザに、XSS 脆弱性を悪用して developer.yahoo.com サブドメインのコンテキストで追加の JavaScript コードを実行する特別に細工された URL で developer.yahoo.com を呼び出すように強制します。
この追加のJavaScriptコードは、Yahoo!ユーザーのセッションCookieを読み取り、攻撃者が管理するウェブサイトにアップロードします。そして、このCookieはユーザーのメールアカウントにアクセスし、すべての連絡先にスパムメールを送信するために使用されます。これは、ある意味では、XSSを利用した自己増殖型のメールワームと言えるでしょう。
Bitdefenderの研究者によると、悪用されたXSS脆弱性は実際にはWordPressのSWFUploadというコンポーネントに存在し、2012年4月にリリースされたWordPressバージョン3.3.2で修正済みとのことです。しかし、YDN Blogのサイトは古いバージョンのWordPressを使用しているようです。
トラブルを避ける方法
ビットディフェンダーの研究者らは水曜日に攻撃を発見した後、同社のスパムデータベースを検索し、ほぼ1か月前にさかのぼる非常によく似たメッセージを発見したと、ビットディフェンダーの上級電子脅威アナリスト、ボグダン・ボテザトゥ氏は木曜日に電子メールで述べた。
「このような攻撃の成功率を推定するのは非常に困難です。センサーネットワークでは確認できないためです」と彼は述べた。「しかしながら、過去1ヶ月間に処理したスパムメールの約1%がこのインシデントによるものだと推定しています。」
ビットディフェンダーは水曜日にヤフーに脆弱性を報告したが、木曜日の時点ではまだ悪用可能だったとボテザトゥ氏は述べた。「当社のテストアカウントの一部は、依然としてこの特定の種類のスパムを送信しています」と彼は述べた。
ヤフーは木曜日遅くに送った声明で、この脆弱性を修正したと述べた。 「ヤフーはセキュリティとユーザーのデータを真剣に受け止めています」とヤフーの担当者はメールで述べた。「最近、外部のセキュリティ企業から脆弱性について知り、修正済みです。懸念のあるユーザーは、パスワードを文字、数字、記号を組み合わせた強力なパスワードに変更し、アカウント設定で2回目のログイン時の本人確認を有効にすることを推奨します。」 ボテザトゥ氏は、メールで受信したリンク、特にbit.lyで短縮されたリンクはクリックしないようユーザーに勧めた。このような攻撃では、リンクを開く前に悪意のあるリンクかどうかを判断するのは難しいと同氏は述べた。 今回のケースでは、メッセージはユーザーの知人(送信者はユーザーの連絡先リストに登録されていた)から送信されており、悪意のあるサイトは評判の良いMSNBCポータルに似せて巧妙に作られていたと同氏は述べた。「これは非常に成功率が高いと予想されるタイプの攻撃です。」
ボテザトゥ氏は、メールで受信したリンク、特にbit.lyで短縮されたリンクはクリックしないようユーザーに勧告した。このような攻撃の場合、リンクを開く前に悪意のあるリンクかどうかを判断するのは困難だと同氏は述べた。
今回のケースでは、メッセージはユーザーの知人(送信者は連絡先リストに登録されている)から送信されており、悪意のあるサイトはMSNBCの信頼できるポータルサイトを装うように巧妙に作成されていたと彼は述べた。「これは非常に成功すると予想されるタイプの攻撃です。」
2013年1月31日Yahooコメントを更新
